当前位置:首页 > 硬件/嵌入开发 > 嵌入开发

[通译]oledump: Extracting Embedded EXE From DOC

优良自学吧提供[通译]oledump: Extracting Embedded EXE From DOC,[翻译]oledump: Extracting Embedded EXE From DOC 原文地址:http://blog.didierstevens.com/2014/12/23/oledump-extracting-em

[翻译]oledump: Extracting Embedded EXE From DOC
原文地址:http://blog.didierstevens.com/2014/12/23/oledump-extracting-embedded-exe-from-doc/
RECHNUNG_vom_18122014.dochttps://www.virustotal.com/en/file/d3672a6b3bc839d76b1d4c2e98ab8c3ef84cb9e928fc3cadad3f4144aa5f8e29/analysis/是一个含有恶意VBA宏用来提取创建一个exe的word文档。本文主要用来介绍oledump如何工作
首先看一下数据流(我把word文档使用密码加密zip,用来绕过AV,oledump可以处理这类文件)

Stream 7含有VBA宏,来查看一下:

当文档打开的时候,Subroutine v45自动执行。它会创建一个临时文件,搜索word文件中ActiveDocument.Range.Text里面的"1234",然后把1234后面的加密bytes写到磁盘,然后执行。
如果查看stream 14来检查内容,将会看到:

1234后面将会看到&H4d&H5a&h90…
&Hxx是VBA中十六进制的语法。我们可以使用解码器进行转换。解码器(python)使用正则搜索&Hxx,把xx转换成字符把他们连接成字符串。
#!/usr/bin/env python

__description__ = '&H decoder for oledump.py'
__author__ = 'Didier Stevens'
__version__ = '0.0.1'
__date__ = '2014/12/19'

"""

Source code put in public domain by Didier Stevens, no Copyright

https://DidierStevens.com

Use at your own risk

History:
  2014/12/19: start

Todo:
"""

import re

class cAmpersandHexDecoder(cDecoderParent):
    name = '&H decoder'

    def __init__(self, stream, options):
        self.stream = stream
        self.options = options
        self.done = False

    def Available(self):
        return not self.done

    def Decode(self):
        decoded = ''.join([chr(int(s[2:], 16)) for s in re.compile('&H[0-9a-f]{2}', re.IGNORECASE).findall(self.stream)])
        self.name = '&H decoder'
        self.done = True
        return decoded

    def Name(self):
        return self.name

AddDecoder(cAmpersandHexDecoder)

使用下面的命令来调用解码器分析嵌入的文件:
引用
oledump.py -s 14 -D decoder_ah.py RECHNUNG_vom_18122014.doc.zip


根据MZ和PE头,可以识别它是一个PE文件,我们可以使用pecheck来检查
引用
oledump.py -s 14 -D decoder_ah.py -d RECHNUNG_vom_18122014.doc.zip | pecheck.py





pecheck介绍:http://blog.didierstevens.com/2013/04/19/3462/
下载地址:http://didierstevens.com/files/software/pecheck_v0_3_0.zip

(本文来自互联网,不代表搜站(http://www.ylzx8.cn/)的观点和立场)
本站所有内容来自互联网,若本站收录的信息无意侵犯了贵司版权,请给我们来信(ylzx8cn@163.com),我们会及时处理和回复,谢谢